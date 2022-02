L’attacco alla catena di approvvigionamento su plug-in e temi colpisce AccessPress, uno sviluppatore di componenti aggiuntivi di WordPress utilizzati in oltre 360.000 siti Web attivi.

L’incidente di sicurezza è stato scoperto da Jetpack durante le indagini su un sito Web compromesso. La ricerca ha poi permesso di scoprire un codice sospetto in un tema di AccessPress Themes (noto anche come Access Keys).

AccessPress è un fornitore con un gran numero di temi e plugin popolari.

AccessPress violato

Dopo ulteriori analisi, i ricercatori di sicurezza hanno scoperto che tutti i temi del provider, e la maggior parte dei suoi plug-in, contenevano questo codice sospetto. Le estensioni infette contenevano un contagocce per una shell Web che offre agli aggressori l’accesso completo ai siti Web infetti.

Tuttavia, questo ha interessato solo il codice scaricato dal sito Web del fornitore. Le stesse estensioni andavano bene se venivano scaricate o installate direttamente dalla directory di WordPress.org.

Sulla base del modo in cui le estensioni sono state compromesse, i ricercatori della sospettavano che un utente malintenzionato esterno si fosse infiltrato nel sito Web di AccessPress Themes per utilizzare le sue estensioni per infettare più siti Web.

I tentativi di contattare il venditore non hanno avuto successo. Dopo che la questione è stata inoltrata al team del plugin di WordPress.org, il sospetto è stato confermato.

I siti Web di AccessPress Themes sono stati attaccati e le estensioni disponibili per il download sul loro sito Web sono state infettate da una backdoor.

Cosa fare in caso di attacco

Chi ha installato temi o plugin direttamente da AccessPress Themes o da un altro provider, ma non dal sito WordPress.org, dovrebbe aggiornare immediatamente a una versione sicura. Se non è disponibile una versione sicura, sarà meglio sostituire il tema/plugin con l’ultima versione di WordPress.org.

Va tenuto presente che ciò non rimuoverà la backdoor dal sistema. Sarà dunque necessario anche reinstallare una versione pulita di WordPress per annullare le modifiche apportate ai file core durante l’installazione della backdoor.

Se si utilizza un tema o un plug-in a pagamento da AccessPress Themes/Access Keys, andrebbe contattato il loro supporto.